Скорость работы в Encase

Обсуждение работы программы EnCase Forensic. Общий раздел.

Скорость работы в Encase

Сообщение slavok » 08 фев 2012, 10:25

Здравствуйте коллеги!
Мы являемся счастливыми обладателями Encase 7.02.01.01 (установлена на очень мощном компьютере с достаточно быстрыми накопителями, к сожалению не SSD но одно из самого быстрого SATA) и разбираемся как оно работает.
Программа приятная, но!
Но, при работе с накопителем на 160 ГБ проводили эксперименты:
- восстановление удаленки, поиск по ключевым словам и индексирование для быстрого поиска - 177 дней, через двое суток работы 175 дней.
- восстановление удаленки - более суток
- поиск по ключевым словам (2 слова) - ждал около полутора суток, потом прервал
- фильтр по всем файлам измененным и созданным после даты - ждал минут 20 и выключил.

Тот же фильтр в версии 4.2 отрабатывается за секунд 10-15 на том же винте на компьютере в разы медленнее того, на котором стоит версия 7.
А теперь вопрос - что же такое происходит? или версия 7 должна так тупить?
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Скорость работы в Encase

Сообщение Igor Mikhaylov » 08 фев 2012, 11:50

Выкачайте 6 версию и сравните результаты (семерошный поддерживает Encase 6).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Скорость работы в Encase

Сообщение kfv » 09 фев 2012, 06:55

А можно подробно:

1) поиск производился на образе(компрессия или без, размер частей образа) или через блокиратор?
2) запускались одновременно несколько задач (восстановление, поиск) или использовали скрипты?
3) где происходит нехватка ресурсов - дисковая система/ оперативная память/ процессор (монитор ресурсов Вам в помощь)?
4) наличие антивирусного ПО - может мешает что-то поиску
5) конфигурацию компьютера можно увидеть.

Р.S. Фильтр в четверке по выбору чего-нибудь более секунды не работает в принципе - выборка мгновенная ( у вас 10-15 секунд слишком долго).
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Скорость работы в Encase

Сообщение xxx2x » 09 фев 2012, 09:19

Не забываем отключать верификацию, которая в тихоря начинает работать при открытии образа. Я бы ещё посмотрел в сторону накопителя, есть подозрения что у некоторых моделей необходимо вкорячивать перемычку ограничения передачи данных на 1.5 Gb (Limit to 1.5 Gb/s OpeOperation) по крайней мере если работаешь через fastblok это нужно делать точно- установлено опытным путём. Ещё за 6 замечал пожирание ресурсов памяти на 64 битной семёрке (та же верификация).
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Скорость работы в Encase

Сообщение slavok » 10 фев 2012, 13:04

6 - версию пока не представляется возможным поставить.
Kfg:
1. Образ делался на винчестер Seagate 1500гб (модель не скажу на вскидку) при помощи PC-3000 побитово, т.е. не в файл образа.
2. при помощи process avidence указывались галочками те задачи, которые я указывал выше, а насколько параллельно они выполняются и как одному гуидансу известно. скрипты не использовались.
3. ресурсов хватает везде! и процессора и оперативки и места на винтах.
4. антивирус - касперский, отключить его не представляется возможным((((
5. Intel Core i-7 2600, ОЗУ 16ГБ, видео думаю неважно но не ниже Geforce 460,винты на которых стоит система WD Black 1 Тб.

энкейс 4 работает на оооочень древнем компе - чтото из АМД 2500 на 1Гб оперативки и по опыту 10-15 сек - это для него быстро))))

xxx2x - операционка 64 семерка - скорее всего проблема 6 осталась и в 7. попробую поискать верификацию (может подскажете где ее отключить?). может действительно из-за этого.
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Скорость работы в Encase

Сообщение kfv » 11 фев 2012, 10:08

Как вариант - раз образ создан в РС3000, после подключения его к 7 энкейсу, повторно сделать сбор информации - т.е. перепаковать образ в формат энкейса.
Затем уже на перепакованном запустить поиск - может ему формат образа не нравится
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Скорость работы в Encase

Сообщение slavok » 13 фев 2012, 12:43

Полученный образ не в файле - а побитовая копия на другом накопителе, т.е. энкейсу фиолетово как получена копия - он работает с живыми данными.
а вот с верификацией похуже - так и не удалось найти где же ее отключить
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Скорость работы в Encase

Сообщение xxx2x » 13 фев 2012, 15:39

После того как создали дело и подключили диск, у Вас откроется главное окно программы. Смотрите в правый нижний угол программы, там начинается процесс verifying. Кликните по нему и отключите.
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Скорость работы в Encase

Сообщение drloser » 23 мар 2012, 03:32

Вот тут Encase 7 - Refund http://www.forensicfocus.com/Forums/viewtopic/t=8831/ активно обсуждают необходимость и неизбежность возврат 7-й версии EnCase производителю, а своих денег, соответственно, обратно. Ну, или возвращение на версию 6.19.
Все съедено до нас
Аватара пользователя
drloser
Член клуба
 
Сообщения: 1108
Зарегистрирован: 22 июн 2011, 08:06
Откуда: Нигерия в снегах
Благодарил (а): 12 раз.
Поблагодарили: 50 раз.

Re: Скорость работы в Encase

Сообщение Igor Mikhaylov » 23 мар 2012, 04:00

Тема "Encase 7 - Refund" - зачетная. Я, кулуарно, обсуждаю ее с некоторыми людьми.


На пользователях Encase - сделали деньги. Хорошие деньги. Печально осознавать, что все мы (пользователи) оказались заложниками людей, которым абсолютно не интересно, что станет с GSI и со всей Digital Forensic в целом. Их интересуют только деньги и их приумножение.

Сейчас эти люди будут проворачивать ту же финансовую схему с AccessData. Готовьтесь увидеть небывалый взлет FTK (желающие могут успеть затарится пока еще дешевыми акциями компании). А лет через 7-8 резкое падение.

Кто следующий? ProDiscover?

Пользователям Encase стоит оставаться на шестой версии и ждать пока производитель доработает бета-версию Encase 7.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Скорость работы в Encase

Сообщение friend » 23 мар 2012, 20:17

дк в итоге encase 7 версию можно сейчас брать или нет? а то у нас спецификация на тендер готовится
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: Скорость работы в Encase

Сообщение Igor Mikhaylov » 23 мар 2012, 20:22

friend писал(а):дк в итоге encase 7 версию можно сейчас брать или нет? а то у нас спецификация на тендер готовится

А другую вам не продадут. Однако, в письме, со ссылками на дистрибутив, придут ссылки на седьмую и шестую версию и она (шестая версия) будет работать с вашим ключем.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Скорость работы в Encase

Сообщение friend » 24 мар 2012, 20:48

ветку, которую вы указали я прочитал, а можно по подробней описать проблемы encase 7, а то я даже с 6 не работал.
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: Скорость работы в Encase

Сообщение Igor Mikhaylov » 25 мар 2012, 05:43

friend писал(а):ветку, которую вы указали я прочитал, а можно по подробней описать проблемы encase 7, а то я даже с 6 не работал.

Это не серьезно. Что ж вам сюда весь ихний bag track переписывать? :D
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Скорость работы в Encase

Сообщение Константин » 25 мар 2012, 23:13

Igor Michailov писал(а): Готовьтесь увидеть небывалый взлет FTK (желающие могут успеть затарится пока еще дешевыми акциями компании). А лет через 7-8 резкое падение.

Не буду спорить. Может быть и будет взлет. В нашей же реальности, работать с FTK повседневно - практически невозможно (даже в режиме "field mode" скорость потрясающе низкая). А вот EnCase 7 .... :shock: - не ожидал. Похоже, что наш медленный, постепенный переход на opensource оправдан.
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

След.

Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron